다음을 통해 공유


Microsoft Intune으로 파생 자격 증명 사용

파생 자격 증명은 SP(특별 게시) 800-157(Link에서 nvlpubs.nist.gov .pdf 파일 열기)의 일부로 PIV(파생 개인 ID 확인) 자격 증명에 대한 NIST(National Institute of Standards and Technology) 지침의 구현입니다.

이 글의 적용 대상:

  • 버전 7.0 이상을 실행하는 Android Enterprise 완전 관리형 장치
  • iOS/iPadOS
  • Windows 10
  • Windows 11

인증 또는 암호화 및 서명에 스마트 카드를 사용해야 하는 조직은 Intune 사용하여 사용자의 스마트 카드 파생된 인증서를 사용하여 모바일 디바이스를 프로비전할 수 있습니다. 이 인증서를 파생 자격 증명이라고 합니다. Intune 여러 파생 자격 증명 발급자를 지원하지만 테넌트당 하나의 발급자만 사용합니다.

Intune 구현 정보

Intune 파생 자격 증명을 사용하려면 Intune 관리자가 지원되는 파생 자격 증명 발급자에서 작동하도록 테넌트를 구성해야 합니다. 파생된 자격 증명 발급자의 시스템에서 Intune 관련 설정을 구성할 필요가 없습니다.

  • Intune 관리자는 다음 개체의 인증 방법으로 파생 자격 증명을 지정합니다.

    Android Enterprise 완전 관리형 디바이스의 경우:

    • Wi-Fi 같은 일반적인 프로필 형식
    • 앱 인증

    iOS/iPadOS의 경우:

    • iOS/iPadOS 기본 메일 앱을 포함하는 Wi-Fi, VPN 및 메일과 같은 일반적인 프로필 유형
    • 앱 인증
    • S/MIME 서명 및 암호화

    Windows의 경우:

    • Wi-Fi 및 VPN과 같은 일반적인 프로필 유형

    참고

    현재 VPN 프로필에 대한 인증 방법으로 파생된 자격 증명이 Windows 디바이스에서 예상대로 작동하지 않습니다. 이 동작은 Windows 디바이스의 VPN 프로필에만 영향을 미치며 향후 릴리스에서 수정될 예정입니다(ETA 없음).

  • Android 및 iOS/iPadOS의 경우 사용자는 컴퓨터에서 스마트 카드를 통해 파생 자격 증명 발급자를 인증하여 파생 자격 증명을 얻습니다. 그러면 발급자는 사용자의 스마트 카드에서 파생된 인증서를 모바일 디바이스에 발급합니다. Windows의 경우 사용자는 나중에 사용할 수 있도록 디바이스에 인증서를 설치하는 파생 자격 증명 공급자의 앱을 설치합니다. a

  • 디바이스에서 파생 자격 증명을 받은 후에는 앱 또는 리소스 액세스 프로필에 파생 자격 증명이 필요하도록 구성된 경우 인증 및 S/MIME 서명 및 암호화에 자격 증명이 사용됩니다.

필수 구성 요소

파생 자격 증명을 사용하도록 테넌트를 구성하기 전에 다음 정보를 검토합니다.

지원되는 플랫폼

Intune은 다음 플랫폼에서 파생된 자격 증명을 지원합니다.

  • iOS/iPadOS
  • Android Enterprise:
    • 완전 관리형 디바이스(버전 7.0 이상)
    • 회사 소유 회사 프로필
  • Windows 10
  • Windows 11

지원되는 발급자

Intune은 테넌트당 하나의 파생 자격 증명 발급자를 지원합니다. 지원되는 발급자는 다음과 같습니다.

다른 발급자를 사용하는 방법에 대한 중요한 세부 정보는 해당 발급자에 대한 지침을 검토하세요. 자세한 내용은 이 문서에서 파생 자격 증명에 대한 계획을 참조하세요.

중요

테넌트에서 파생 자격 증명 발급자를 삭제하면 해당 발급자를 통해 설정된 파생 자격 증명이 더 이상 작동하지 않습니다.

이 문서의 뒷부분에 나오는 파생 자격 증명 발급자 변경을 참조하세요.

필수 앱

파생 자격 증명에 등록하는 디바이스에 관련 사용자 연결 앱을 배포하도록 계획합니다. 디바이스 사용자는 앱을 사용하여 자격 증명 등록 프로세스를 시작합니다.

파생 자격 증명에 대한 계획

Android 및 iOS/iPadOS의 파생 자격 증명 발급자를 설정하기 전에 다음 고려 사항을 이해해야 합니다.

Windows 디바이스의 경우 해당 문서의 뒷부분에 나오는 Windows의 파생 자격 증명을 참조하세요.

1 - 선택한 파생 자격 증명 발급자의 설명서 검토

발급자를 구성하기 전에 해당 발급자의 설명서를 검토하여 시스템이 파생된 자격 증명을 디바이스에 제공하는 방식을 이해합니다.

선택한 발급자에 따라 등록 시 사용자가 프로세스를 완료하도록 도울 수 있는 직원이 필요할 수 있습니다. 또한 현재 Intune 구성을 검토하여 디바이스 또는 사용자가 자격 증명 요청을 완료하는 데 필요한 액세스를 차단하지 않도록 합니다.

예를 들어 조건부 액세스를 사용하여 비규격 디바이스의 전자 메일 액세스를 차단할 수 있습니다. 파생 자격 증명 등록 프로세스를 시작하도록 사용자에게 알리는 데 메일 알림을 사용하는 경우 사용자는 정책을 준수할 때까지 해당 지침을 받지 못할 수 있습니다.

마찬가지로 일부 파생 자격 증명 요청 워크플로의 경우 디바이스 카메라를 사용하여 스크린에 표시되는 QR 코드를 검색해야 합니다. 이 코드는 사용자의 스마트 카드 자격 증명을 통해 파생된 자격 증명 발급자에 대해 발생한 인증 요청에 해당 디바이스를 연결합니다. 발생한 인증 요청에 해당 디바이스를 연결합니다. 디바이스 구성 정책이 카메라 사용을 차단하는 경우 사용자는 파생 자격 증명 등록 요청을 완료할 수 없습니다.

일반 정보:

  • 한 번에 테넌트당 하나의 발급자만 구성할 수 있으며 테넌트의 모든 사용자 및 지원되는 디바이스가 해당 발급자를 사용할 수 있습니다.

  • 파생 자격 증명을 요구하는 정책을 사용하여 대상으로 지정할 때까지 사용자는 파생 자격 증명을 등록해야 한다는 알림을 받지 않습니다.

  • 알림은 회사 포털용 앱 알림, 메일 또는 두 방법을 통해 제공될 수 있습니다. 메일 알림을 사용하도록 선택하고 조건부 액세스를 사용하도록 설정하면 디바이스가 비준수인 경우 사용자가 메일 알림을 받지 못할 수 있습니다.

    중요

    최종 사용자가 디바이스 자격 증명과 관련된 알림을 성공적으로 수신하려면 회사 포털, 전자 메일 알림 또는 둘 다에 대해 앱 알림을 사용하도록 설정해야 합니다.

2 - 선택한 발급자의 최종 사용자 워크플로 검토

각 지원 대상 파트너에 관한 주요 고려 사항은 다음과 같습니다. 이 정보를 숙지하여 사용자 및 디바이스가 해당 발급자의 파생된 자격 증명 등록을 완료하는 것이 Intune 정책 및 구성에 따라 차단되지 않도록 하세요.

DISA Purebred

파생 자격 증명과 함께 사용할 디바이스에 대한 플랫폼별 사용자 워크플로를 검토합니다.

핵심 요구 사항은 다음과 같습니다.

  • 사용자는 해당 스마트 카드를 사용하여 발급자에 대해 인증할 수 있는 컴퓨터 또는 키오스크에 액세스할 수 있어야 합니다.

  • 파생 자격 증명을 등록할 iOS 및 iPadOS 디바이스는 Intune 회사 포털 앱을 설치해야 합니다. Android 완전 관리형 및 회사 소유 회사 프로필 디바이스는 Intune 앱을 설치하고 사용해야 합니다.

  • Intune을 사용하여 파생 자격 증명을 등록할 디바이스에 DISA Purebred 앱을 배포합니다. 이 앱은 관리되도록 Intune을 통해 배포해야 하며, 디바이스 사용자가 파생 자격 증명 요청을 완료하는 데 사용하는 Intune 회사 포털 앱 또는 Intune 앱에서 작업할 수 있습니다.

  • Purebred 앱에서 파생 자격 증명을 검색하려면 디바이스가 온-프레미스 네트워크에 액세스할 수 있어야 합니다. 회사 Wi-Fi 또는 VPN을 통해 액세스할 수 있습니다.

  • 디바이스 사용자는 등록 프로세스 중에 라이브 에이전트를 사용해야 합니다. 등록하는 동안 사용자가 등록 프로세스를 계속 진행할 때 시간이 제한된 일회성 암호가 사용자에게 제공됩니다.

  • 새 Wi-Fi 프로필 생성과 같이 파생 자격 증명을 사용하는 정책이 변경되면 iOS 및 iPadOS 사용자에게 회사 포털 앱을 열라는 알림이 표시됩니다.

  • 파생 자격 증명을 갱신해야 할 때 해당 앱을 열라는 알림이 사용자에게 표시됩니다.

    갱신 프로세스는 다음과 같이 진행됩니다.

    • 파생 자격 증명 발급자는 이전 인증서가 유효 기간의 80%가 되기 전에 새 인증서 또는 업데이트된 인증서를 발급해야 합니다.
    • 장치는 갱신 기간(유효 기간의 마지막 20%) 동안 체크인합니다.
    • Microsoft Intune 전자 메일 또는 앱 알림을 통해 사용자에게 회사 포털 시작하도록 알 수 있습니다.
    • 사용자가 회사 포털 시작하고 파생 자격 증명 알림을 탭한 다음 파생 자격 증명 인증서가 디바이스에 복사됩니다.

DISA Purebred 앱을 가져오고 구성하는 방법에 대한 자세한 내용은 이 문서의 뒷부분에 나오는 DISA Purebred 앱 배포를 참조하세요.

Entrust

파생 자격 증명과 함께 사용할 디바이스에 대한 플랫폼별 사용자 워크플로를 검토합니다.

핵심 요구 사항은 다음과 같습니다.

  • 사용자는 해당 스마트 카드를 사용하여 발급자에 대해 인증할 수 있는 컴퓨터 또는 키오스크에 액세스할 수 있어야 합니다.

  • 파생 자격 증명을 등록할 iOS 및 iPadOS 디바이스는 Intune 회사 포털 앱을 설치해야 합니다. Android 완전 관리형 및 회사 소유 회사 프로필 디바이스는 Intune 앱을 설치하고 사용해야 합니다.

  • 디바이스 카메라를 사용하여 모바일 디바이스의 파생 자격 증명 요청에 인증 요청을 연결하는 QR 코드를 검색합니다.

  • 회사 포털 앱 또는 이메일을 통해 파생 자격 증명을 등록하라는 메시지가 사용자에게 표시됩니다.

  • 새 Wi-Fi 프로필 생성과 같이 파생 자격 증명을 사용하는 정책이 변경된 경우:

    • iOS 및 iPadOS - 회사 포털 앱을 열라는 알림이 사용자에게 표시됩니다.
    • Android Enterprise회사 소유 회사 프로필 또는 완전 관리형 디바이스 - 회사 포털 앱을 열 필요가 없습니다.
  • 파생 자격 증명을 갱신해야 할 때 해당 앱을 열라는 알림이 사용자에게 표시됩니다.

    갱신 프로세스는 다음과 같이 진행됩니다.

    • 파생 자격 증명 발급자는 이전 인증서가 유효 기간의 80%가 되기 전에 새 인증서 또는 업데이트된 인증서를 발급해야 합니다.
    • 장치는 갱신 기간(유효 기간의 마지막 20%) 동안 체크인합니다.
    • Microsoft Intune 전자 메일 또는 앱 알림을 통해 사용자에게 회사 포털 시작하도록 알 수 있습니다.
    • 사용자가 회사 포털을 시작하고 파생 자격 증명 알림을 탭하면 파생 자격 증명 인증서가 장치에 복사됩니다.

Intercede

파생 자격 증명과 함께 사용할 디바이스에 대한 플랫폼별 사용자 워크플로를 검토합니다.

핵심 요구 사항은 다음과 같습니다.

  • 사용자는 해당 스마트 카드를 사용하여 발급자에 대해 인증할 수 있는 컴퓨터 또는 키오스크에 액세스할 수 있어야 합니다.

  • 파생 자격 증명을 등록할 iOS 및 iPadOS 디바이스는 Intune 회사 포털 앱을 설치해야 합니다. Android 완전 관리형 및 회사 소유 회사 프로필 디바이스는 Intune 앱을 설치하고 사용해야 합니다.

  • 디바이스 카메라를 사용하여 모바일 디바이스의 파생 자격 증명 요청에 인증 요청을 연결하는 QR 코드를 검색합니다.

  • 회사 포털 앱 또는 이메일을 통해 파생 자격 증명을 등록하라는 메시지가 사용자에게 표시됩니다.

  • 새 Wi-Fi 프로필 생성과 같이 파생 자격 증명을 사용하는 정책이 변경된 경우:

    • iOS 및 iPadOS - 회사 포털 앱을 열라는 알림이 사용자에게 표시됩니다.
    • Android Enterprise회사 소유 회사 프로필 또는 완전 관리형 디바이스 - 회사 포털 앱을 열 필요가 없습니다.
  • 파생 자격 증명을 갱신해야 할 때 해당 앱을 열라는 알림이 사용자에게 표시됩니다.

    갱신 프로세스는 다음과 같이 진행됩니다.

    • 파생 자격 증명 발급자는 이전 인증서가 유효 기간의 80%가 되기 전에 새 인증서 또는 업데이트된 인증서를 발급해야 합니다.
    • 장치는 갱신 기간(유효 기간의 마지막 20%) 동안 체크인합니다.
    • Microsoft Intune 전자 메일 또는 앱 알림을 통해 사용자에게 회사 포털 시작하도록 알 수 있습니다.
    • 사용자가 회사 포털을 시작하고 파생 자격 증명 알림을 탭하면 파생 자격 증명 인증서가 장치에 복사됩니다.

3 - 디바이스에 신뢰할 수 있는 루트 인증서 배포

신뢰할 수 있는 루트 인증서를 파생 자격 증명과 함께 사용하여 파생 자격 증명 인증서 체인이 유효하고 신뢰할 수 있는지 확인합니다. 정책에서 직접 참조되지 않는 경우에도 신뢰할 수 있는 루트 인증서가 필요합니다. Microsoft Intune에서 디바이스에 대한 인증서 프로필 구성을 참조하세요.

4 - 파생 자격 증명을 가져오는 방법에 대한 최종 사용자 지침 제공

파생 자격 증명 등록 프로세스를 시작하고 선택한 발급자의 파생 자격 증명 등록 워크플로를 살펴보는 방법에 대한 지침을 만들고 사용자에게 제공합니다.

지침을 호스트하는 URL을 제공하는 것이 좋습니다. 테넌트를 위해 파생 자격 증명 발급자를 구성할 때 이 URL을 지정하며 회사 포털 앱 내에서 해당 URL을 사용할 수 있습니다. 고유한 URL을 지정하지 않으면 Intune이 일반적인 세부 정보의 링크를 제공합니다. 이 세부 정보는 모든 시나리오를 다루지 않으며 사용자 환경에 맞지 않을 수 있습니다.

5 - 파생 자격 증명이 필요한 Intune 정책 배포

새 정책을 만들거나 기존 정책을 편집하여 파생 자격 증명을 사용합니다. 파생 자격 증명은 다음 개체에 대한 다른 인증 방법을 대체합니다.

  • 앱 인증
  • Wi-Fi
  • VPN
  • 이메일(iOS만 해당)
  • Outlook을 포함한 S/MIME 서명 및 암호화(iOS만 해당)

사용자가 요청을 완료하지 못하게 차단할 수 있으므로 파생된 자격 증명을 가져오는 프로세스의 일부로 사용할 프로세스에 액세스하는 데는 파생된 자격 증명 사용을 요구하지 마세요.

파생 자격 증명 발급자 설정

파생 자격 증명을 사용해야 하는 정책을 만들기 전에 Microsoft Intune 관리 센터에서 자격 증명 발급자를 설정합니다. 파생 자격 증명 발급자는 테넌트 전체 설정입니다. 테넌트는 한 번에 하나의 발급자만 지원합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 테넌트 관리>커넥터 및 토큰>파생된 자격 증명을 선택합니다.

    Microsoft Intune 관리 센터에서 파생 자격 증명을 구성합니다.

  3. 파생 자격 증명 발급자 정책의 친숙한 표시 이름을 지정합니다. 이 이름은 디바이스 사용자에게 표시되지 않습니다.

  4. 파생 자격 증명 발급자에 대해 테넌트를 위해 선택한 파생 자격 증명 발급자를 선택합니다.

    • DISA Purebred(iOS만 해당)
    • Entrust
    • Intercede
  5. 파생 자격 증명 도움말 URL을 지정하여 사용자가 조직의 파생 자격 증명을 가져오는 데 도움이 되는 사용자 지정 지침을 포함하는 위치의 링크를 제공합니다. 이 지침은 조직에 관련되며 선택한 발급자의 자격 증명을 가져오는 데 필요한 워크플로에 관련되어야 합니다. 이 링크는 회사 포털 앱에 표시되며 디바이스에서 액세스할 수 있어야 합니다.

    고유한 URL을 지정하지 않으면 Intune이 일부 시나리오를 다루지 않는 일반적인 세부 정보의 링크를 제공합니다. 이 일반 지침은 사용자 환경에 맞지 않을 수 있습니다.

  6. 알림 유형 옵션을 하나 이상 선택합니다. 알림 유형은 사용자에게 다음 시나리오를 알리는 데 사용하는 방법입니다.

    • 발급자에 디바이스를 등록하여 새 파생 자격 증명을 가져옵니다.
    • 현재 자격 증명이 만료될 예정인 경우 새 파생 자격 증명을 가져옵니다.
    • 지원되는 개체와 함께 파생 자격 증명을 사용합니다.
  7. 준비가 되면 저장을 선택하여 파생 자격 증명 발급자의 구성을 완료합니다.

구성을 저장한 후에는 ‘파생 자격 증명 발급자’를 제외한 모든 필드를 변경할 수 있습니다. 발급자를 변경하려면 파생 자격 증명 발급자 변경을 참조하세요.

DISA Purebred 앱 배포

‘이 섹션은 DISA Purebred를 사용하는 경우에만 적용됩니다.’

Intune용 파생 자격 증명 발급자로 DISA Purebred를 사용하려면 DISA Purebred 앱을 가져온 후 Intune을 사용하여 앱을 디바이스에 배포해야 합니다. 그런 다음 사용자는 iOS/iPadOS 디바이스의 회사 포털 앱 또는 Android 디바이스의 Intune 앱을 사용하여 DISA Purebred에서 파생 자격 증명을 요청합니다.

Intune을 사용하여 DISA Purebred 앱을 배포하는 것 외에도 디바이스는 온-프레미스 네트워크에 액세스할 수 있어야 합니다. 이 액세스를 제공하기 위해 VPN 또는 회사 Wi-Fi를 사용하는 것이 좋습니다.

다음 작업을 완료합니다.

  1. DISA Purebred 애플리케이션을 다운로드합니다. https://cyber.mil/pki-pke/purebred/.

  2. Intune에 DISA Purebred 애플리케이션을 배포합니다.

    Purebred 앱에 대한 추가 설정이 필요할 수 있습니다. Purebred 에이전트에게 문의하여 정책에 포함해야 하는 값을 이해하거나 DoD에서 CAC(Common Access Card)를 발급한 경우 에서 Purebred 설명서에 온라인으로 액세스할 수 있습니다. https://cyber.mil/pki-pke/purebred/.

  3. DISA Purebred 애플리케이션에 앱별 VPN을 사용하도록 선택하는 경우 앱별 VPN 만들기를 참조하세요.

인증과 S/MIME 서명 및 암호화에 파생 자격 증명 사용

다음 프로필 유형 및 용도를 위해 파생 자격 증명을 지정할 수 있습니다.

앱 인증에 파생 자격 증명 사용

웹 사이트 및 애플리케이션에 대한 인증서 기반 인증에 파생 자격 증명을 사용합니다. 앱 인증에 파생된 자격 증명을 제공하려면 다음 단계를 따르세요.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>관리 디바이스>구성>정책 탭에서 + 만들기를 선택합니다.

  3. 다음 설정을 사용합니다.

    iOS 및 iPadOS의 경우:

    • 플랫폼의 경우. iOS/iPadOS를 선택한 다음 프로필 유형에 대해 템플릿 > 파생 자격 증명을 선택합니다. 만들기를 선택하여 계속합니다.
    • 이름에 프로필의 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 iOS 디바이스 프로필의 파생된 자격 증명과 같은 이름이 좋은 프로필 이름입니다.
    • 설명에 설정 개요 및 기타 중요한 세부 정보를 제공하는 설명을 입력합니다.

    Android Enterprise의 경우:

    • 플랫폼의 경우. Android Enterprise를 선택한 다음 프로필 유형에 대해 완전 관리형, 전용 및 Corporate-Owned 회사 프로필에서 파생 자격 증명을 선택합니다. 만들기를 선택하여 계속합니다.
    • 이름에 프로필의 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 좋은 프로필 이름은Android Enterprise 디바이스 프로필의 파생 자격 증명입니다.
    • 설명에 설정 개요 및 기타 중요한 세부 정보를 제공하는 설명을 입력합니다.
    • 페이지에서 인증서 액세스 권한을 구성하여 애플리케이션에 인증서 액세스 권한을 부여하는 방법을 관리합니다. 다음 중에서 선택합니다.
      • 앱에 대한 사용자 승인 필요(기본값) – 사용자는 모든 애플리케이션에서 인증서 사용을 승인해야 합니다.
      • 특정 앱에 대해 자동으로 부여(다른 앱에 대한 사용자 승인 필요) – 이 옵션을 사용하여 앱 추가를 선택한 다음, 사용자 상호 작용 없이 인증서를 자동으로 사용하는 하나 이상의 앱을 선택합니다.
  4. 할당 페이지에서 정책을 받을 그룹을 선택합니다.

  5. 완료되면 만들기를 선택하여 Intune 프로필을 만듭니다. 완료되면 프로필이 디바이스 - 구성 프로필 목록에 표시됩니다.

사용자는 파생 자격 증명 발급자를 설정할 때 지정한 설정에 따라 앱 또는 메일 알림을 받습니다. 이 알림은 파생 자격 증명 정책을 처리할 수 있게 사용자에게 회사 포털을 시작하도록 알립니다.

Windows의 파생 자격 증명

Windows 디바이스에서 Wi-Fi 및 VPN 프로필의 인증 방법으로 파생 인증서를 사용할 수 있습니다. Android 및 iOS/iPadOS 디바이스에서 지원되는 것과 동일한 공급자가 Windows의 공급자로 지원됩니다.

  • DISA Purebred
  • Entrust
  • Intercede

참고

현재 VPN 프로필에 대한 인증 방법으로 파생된 자격 증명이 Windows 디바이스에서 예상대로 작동하지 않습니다. 이 동작은 Windows 디바이스의 VPN 프로필에만 영향을 미치며 향후 릴리스에서 수정될 예정입니다(ETA 없음).

Windows의 경우 사용자는 파생 자격 증명으로 사용할 인증서를 가져오기 위해 스마트 카드 등록 프로세스를 거치지 않습니다. 대신, 사용자는 파생 자격 증명 공급자가 제공하는 Windows용 앱을 설치해야 합니다. Windows에서 파생 자격 증명을 사용하려면 다음 구성을 완료합니다.

  1. Windows 디바이스에 파생 자격 증명 공급자의 앱을 설치합니다.

    Windows 디바이스에 파생 자격 증명 공급자의 Windows 앱을 설치하면 파생 인증서가 해당 디바이스 Windows 인증서 저장소에 추가됩니다. 인증서가 디바이스에 추가되면 파생 자격 증명 인증 방법을 사용할 수 있게 됩니다.

    선택한 공급자의 앱을 다운로드한 후 앱을 사용자에게 배포하거나 디바이스 사용자가 직접 설치할 수 있습니다.

  2. 인증 방법으로 파생 자격 증명을 사용하도록 Wi-Fi 및 VPN 프로필을 구성합니다.

    Wi-Fi 또는 VPN용 Windows 프로필을 구성하는 경우 ‘인증 방법’으로 파생 자격 증명을 선택합니다. 해당 구성을 사용하면 프로필은 공급자 앱이 설치될 때 디바이스에 설치되는 인증서를 사용합니다.

파생 자격 증명 갱신

Android 또는 iOS/iPadOS 디바이스의 파생 자격 증명은 확장하거나 갱신할 수 없습니다. 대신, 사용자는 자격 증명 요청 워크플로를 사용하여 디바이스에 대한 새 파생 자격 증명을 요청해야 합니다. Windows 디바이스의 경우 파생 자격 증명 공급자의 앱에 관한 설명서를 참조하세요.

알림 유형에 대한 방법을 하나 이상 구성하면 Intune은 현재 파생 자격 증명이 해당 수명의 80%에 도달할 때 사용자에게 자동으로 알립니다. 이 알림을 통해 사용자는 새 파생 자격 증명을 가져오는 자격 증명 요청 프로세스를 진행할 수 있습니다.

디바이스가 새 파생 자격 증명을 받은 후 파생 자격 증명을 사용하는 정책이 해당 디바이스에 다시 배포됩니다.

파생 자격 증명 발급자 변경

테넌트별로 한 번에 하나의 발급자만 지원되지만 테넌트 수준에서 자격 증명 발급자를 변경할 수 있습니다.

발급자를 변경한 후 새 발급자의 새 파생 자격 증명을 가져올지 묻는 메시지가 사용자에게 표시됩니다. 인증에 파생 자격 증명을 사용하려면 먼저 이 작업을 수행해야 합니다.

테넌트의 발급자 변경

중요

발급자를 삭제하고 즉시 이 동일한 발급자를 다시 구성하는 경우에도 해당 발급자의 파생 자격 증명을 사용하도록 프로필 및 디바이스를 업데이트해야 합니다. 발급자를 삭제하기 전에 얻은 파생 자격 증명은 더 이상 유효하지 않습니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. 테넌트 관리>커넥터 및 토큰>파생된 자격 증명을 선택합니다.
  3. 삭제를 선택하여 현재 파생 자격 증명 발급자를 제거합니다.
  4. 새 발급자를 구성합니다.

파생 자격 증명을 사용하는 프로필 업데이트

발급자를 삭제하고 새 발급자를 추가한 후 파생 자격 증명을 사용하는 각 프로필을 편집합니다. 이전 발급자를 복원하는 경우에도 이 규칙이 적용됩니다. 프로필을 편집하면 프로필 설명에 대한 간단한 편집을 포함하여 업데이트가 트리거 됩니다.

디바이스에서 파생 자격 증명 업데이트

발급자가 삭제되고 새 발급자가 추가된 후 디바이스 사용자는 새 파생 자격 증명을 요청해야 합니다. 제거한 동일한 발급자를 추가하는 경우에도 이 규칙이 적용됩니다. 새 파생 자격 증명을 요청하는 프로세스는 새 디바이스를 등록하거나 기존 자격 증명을 갱신하는 경우에도 동일합니다.

다음 단계

디바이스 구성 프로필 만들기